Verwenden von Citrix SD-WAN™ zum Herstellen einer Verbindung mit Microsoft Azure Virtual WAN

Für die Verbindung von lokalen Geräten mit Azure ist ein Controller erforderlich. Ein Controller nimmt Azure-APIs auf, um eine Site-to-Site-Konnektivität mit dem Azure WAN und einem Hub herzustellen.

Microsoft Azure Virtual WAN umfasst die folgenden Komponenten und Ressourcen:

• WAN: Stellt das gesamte Netzwerk in Microsoft Azure dar. Es enthält Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei Hubs in verschiedenen WANs enthalten.

• Site: Stellt Ihr lokales VPN-Gerät und dessen Einstellungen dar. Eine Site kann sich mit mehreren Hubs verbinden. Durch die Verwendung von Citrix SD-WAN erhalten Sie eine integrierte Lösung, um diese Informationen automatisch nach Azure zu exportieren.

• Hub: Stellt den Kern Ihres Netzwerks in einer bestimmten Region dar. Der Hub enthält verschiedene Dienstendpunkte, um Konnektivität und andere Lösungen für Ihr lokales Netzwerk zu ermöglichen. Site-to-Site-Verbindungen werden zwischen den Sites zu einem VPN-Endpunkt des Hubs hergestellt.

• Hub-Verbindung für virtuelles Netzwerk: Das Hub-Netzwerk verbindet den Azure Virtual WAN Hub nahtlos mit Ihrem virtuellen Netzwerk. Derzeit ist die Konnektivität zu virtuellen Netzwerken verfügbar, die sich innerhalb derselben Virtual Hub-Region befinden.

• Branch: Die Branches sind die lokalen Citrix SD-WAN Appliances, die sich an Kundenstandorten befinden. Ein SD-WAN Controller verwaltet die Branches zentral. Die Verbindung stammt von hinter diesen Branches und endet in Azure. Der SD-WAN Controller ist für die Anwendung der erforderlichen Konfiguration auf diese Branches und auf Azure Hubs verantwortlich.

Die folgende Abbildung beschreibt die Virtual WAN-Komponenten:

Funktionsweise von Microsoft Azure Virtual WAN

1. Das SD-WAN Center wird mithilfe von Dienstprinzipal-, Prinzipal- oder rollenbasierter Zugriffsfunktionalität authentifiziert, die in der Azure-GUI aktiviert ist.

2. Das SD-WAN Center ruft die Azure-Konnektivitätskonfiguration ab und aktualisiert das lokale Gerät. Dies automatisiert das Herunterladen, Bearbeiten und Aktualisieren der Konfiguration des lokalen Geräts.

3. Nachdem das Gerät die korrekte Azure-Konfiguration erhalten hat, wird eine Site-to-Site-Verbindung (zwei aktive IPsec-Tunnel) zum Azure WAN hergestellt. Azure erfordert, dass der Branch-Geräte-Konnektor IKEv2-Einstellungen unterstützt. Die BGP-Konfiguration ist optional.

   Hinweis: IPsec-Parameter für die Einrichtung von IPsec-Tunneln sind standardisiert.

   IPsec-Eigenschaft	Parameter
   Ike-Verschlüsselungsalgorithmus	AES 256
   Ike-Integritätsalgorithmus	SHA 256
   Dh-Gruppe	DH2
   IPsec-Verschlüsselungsalgorithmus	GCM AES 256
   IPsec-Integritätsalgorithmus	GCM AES 256
   PFS-Gruppe	Keine

Azure Virtual WAN automatisiert die Konnektivität zwischen dem virtuellen Workload-Netzwerk und dem Hub. Wenn Sie eine Hub-Verbindung für virtuelle Netzwerke erstellen, legt diese die entsprechende Konfiguration zwischen dem bereitgestellten Hub und dem virtuellen Workload-Netzwerk (VNET) fest.

Voraussetzungen und Anforderungen

Lesen Sie die folgenden Anforderungen, bevor Sie mit der Konfiguration von Azure und SD-WAN zur Verwaltung von Branch-Sites fortfahren, die sich mit Azure-Hubs verbinden.

1. Verfügen Sie über ein für Virtual WAN zugelassenes Azure-Abonnement.
2. Verfügen Sie über eine lokale Appliance, z. B. eine SD-WAN Appliance, um IPsec-Verbindungen zu Azure-Ressourcen herzustellen.
3. Verfügen Sie über Internetverbindungen mit öffentlichen IP-Adressen. Obwohl eine einzelne Internetverbindung ausreicht, um die Konnektivität zu Azure herzustellen, benötigen Sie zwei IPsec-Tunnel, um dieselbe WAN-Verbindung zu nutzen.
4. SD-WAN Controller – ein Controller ist die Schnittstelle, die für die Konfiguration von SD-WAN Appliances für die Verbindung mit Azure verantwortlich ist.
5. Ein VNET in Azure, das mindestens eine Workload enthält. Zum Beispiel eine VM, die einen Dienst hostet. Beachten Sie die folgenden Punkte:
   1. Das virtuelle Netzwerk darf kein Azure VPN- oder ExpressRoute-Gateway oder eine virtuelle Netzwerk-Appliance haben.
   2. Das virtuelle Netzwerk darf keine benutzerdefinierte Route haben, die den Datenverkehr zu einem nicht-Virtual WAN virtuellen Netzwerk für die Workload leitet, auf die von der lokalen Branch zugegriffen wird.
   3. Entsprechende Berechtigungen für den Zugriff auf die Workload müssen konfiguriert werden. Zum Beispiel Port 22 SSH-Zugriff für eine Ubuntu-VM.

Das folgende Diagramm veranschaulicht ein Netzwerk mit zwei Sites und zwei virtuellen Netzwerken in Microsoft Azure.

Einrichten von Microsoft Azure Virtual WAN

Damit lokale SD-WAN Branches eine Verbindung zu Azure herstellen und über IPsec-Tunnel auf die Ressourcen zugreifen können, müssen die folgenden Schritte ausgeführt werden.

1. Konfigurieren von WAN-Ressourcen.
2. Aktivieren von SD-WAN Branches zur Verbindung mit Azure über IPsec-Tunnel.

Konfigurieren Sie das Azure-Netzwerk, bevor Sie das SD-WAN-Netzwerk konfigurieren, da die für die Verbindung mit SD-WAN Appliances erforderlichen Azure-Ressourcen vorher verfügbar sein müssen. Sie können die SD-WAN-Konfiguration jedoch auch vor der Konfiguration der Azure-Ressourcen vornehmen, wenn Sie dies bevorzugen. Dieses Thema behandelt die Einrichtung des Azure Virtual WAN-Netzwerks, bevor die SD-WAN Appliances konfiguriert werden. https://microsoft.com Azure virtual-wan.

Erstellen einer WAN-Ressource

Um Virtual WAN-Funktionen zu nutzen und die lokale Branch-Appliance mit Azure zu verbinden:

1. Melden Sie sich beim Azure Marketplace an, navigieren Sie zur Virtual WAN-App und wählen Sie WAN erstellen aus.

   

2. Geben Sie einen Namen für das WAN ein und wählen Sie das Abonnement aus, das Sie für das WAN verwenden möchten.

3. Wählen Sie eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue Ressourcengruppe. Ressourcengruppen sind logische Konstrukte, und der Datenaustausch zwischen Ressourcengruppen ist immer möglich.

4. Wählen Sie den Speicherort aus, an dem sich Ihre Ressourcengruppe befinden soll. WAN ist eine globale Ressource, die keinen Standort hat. Sie müssen jedoch einen Standort für die Ressourcengruppe eingeben, die Metadaten für die WAN-Ressource enthält.

5. Klicken Sie auf Erstellen. Dadurch wird der Prozess zur Validierung und Bereitstellung Ihrer Einstellungen gestartet.

Site erstellen

Sie können eine Site über einen bevorzugten Anbieter erstellen. Der bevorzugte Anbieter sendet die Informationen über Ihr Gerät und Ihre Site an Azure, oder Sie können entscheiden, das Gerät selbst zu verwalten. Wenn Sie das Gerät verwalten möchten, müssen Sie die Site im Azure-Portal erstellen.

SD-WAN-Netzwerk und Microsoft Azure Virtual WAN-Workflow

SD-WAN Appliance konfigurieren:

1. Eine Citrix SD-WAN Appliance bereitstellen
   • SD-WAN Branch-Appliance mit der MCN-Appliance verbinden.
2. SD-WAN Appliance konfigurieren
   • Intranet-Dienste für Active-Active-Verbindung konfigurieren.

SD-WAN Center konfigurieren:

• SD-WAN Center für die Verbindung mit Microsoft Azure konfigurieren.

Azure-Einstellungen konfigurieren:

• Tenant-ID, Client-ID, sicheren Schlüssel, Abonnement-ID und Ressourcengruppe angeben.

Branch-Site-zu-WAN-Zuordnung konfigurieren:

1. Eine WAN-Ressource einem Branch zuordnen. Dieselbe Site kann nicht mit mehreren WANs verbunden werden.
2. Klicken Sie auf Neu, um die Site-WAN-Zuordnung zu konfigurieren.
3. Wählen Sie Azure WAN-Ressourcen aus.
4. Wählen Sie Dienste (Intranet) für die Site aus. Wählen Sie zwei Dienste für die Active-Standby-Unterstützung aus.
5. Wählen Sie die Site-Namen aus, die den WAN-Ressourcen zugeordnet werden sollen.
6. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
7. Warten Sie, bis sich der Status in Tunnel bereitgestellt ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen.
8. Verwenden Sie die Berichtsansicht des SD-WAN Centers, um den Status der jeweiligen IPsec-Tunnel zu überprüfen.

Citrix SD-WAN-Netzwerk konfigurieren

MCN:

Das MCN dient als Verteilungspunkt für die anfängliche Systemkonfiguration und nachfolgende Konfigurationsänderungen. In einem Virtual WAN kann nur ein aktives MCN vorhanden sein. Standardmäßig haben Appliances die vordefinierte Rolle eines Clients. Um eine Appliance als MCN einzurichten, müssen Sie zuerst die Site als MCN hinzufügen und konfigurieren. Die GUI für die Netzwerkkonfiguration wird verfügbar, nachdem eine Site als MCN konfiguriert wurde. Upgrades und Konfigurationsänderungen dürfen nur vom MCN oder SD-WAN Center aus durchgeführt werden.

Rolle des MCN:

Das MCN ist der zentrale Knoten, der als Controller eines SD-WAN-Netzwerks und als zentraler Verwaltungspunkt für die Client-Knoten fungiert. Alle Konfigurationsaktivitäten, zusätzlich zur Vorbereitung von Firmware-Paketen und deren Verteilung an die Clients, werden auf dem MCN konfiguriert. Darüber hinaus sind Überwachungsinformationen nur auf dem MCN verfügbar. Das MCN kann das gesamte SD-WAN-Netzwerk überwachen, während Client-Knoten nur die lokalen Intranets und einige Informationen für die Clients überwachen können, mit denen sie verbunden sind. Der Hauptzweck des MCN besteht darin, Overlay-Verbindungen (virtuelle Pfade) mit einem oder mehreren Client-Knoten herzustellen, die sich im gesamten SD-WAN-Netzwerk für die Site-to-Site-Kommunikation des Unternehmens befinden. Ein MCN kann mehrere Client-Knoten verwalten und virtuelle Pfade zu ihnen haben. Es kann mehr als ein MCN geben, aber nur eines kann zu einem bestimmten Zeitpunkt aktiv sein. Die folgende Abbildung veranschaulicht das grundlegende Diagramm der MCN- und Client- (Branch-Knoten-) Appliances für ein kleines Zwei-Site-Netzwerk.

SD-WAN Appliance als MCN konfigurieren

Um das MCN hinzuzufügen und zu konfigurieren, müssen Sie sich zuerst bei der Management-Weboberfläche der Appliance anmelden, die Sie als MCN festlegen, und die Management-Weboberfläche in den MCN-Konsolenmodus wechseln. Der MCN-Konsolenmodus ermöglicht den Zugriff auf den Konfigurationseditor in der Management-Weboberfläche, mit der Sie derzeit verbunden sind. Sie können dann den Konfigurationseditor verwenden, um die MCN-Site hinzuzufügen und zu konfigurieren.

Um die Management-Weboberfläche in den MCN-Konsolenmodus zu wechseln, gehen Sie wie folgt vor:

1. Melden Sie sich bei der SD-WAN Management-Weboberfläche der Appliance an, die Sie als MCN konfigurieren möchten.
2. Klicken Sie auf Konfiguration in der Hauptmenüleiste des Hauptbildschirms der Management-Weboberfläche (blaue Leiste oben auf der Seite).
3. Öffnen Sie in der Navigationsstruktur (linker Bereich) den Zweig Appliance-Einstellungen und klicken Sie auf Administrator-Schnittstelle.

4. Wählen Sie die Registerkarte Sonstiges aus. Die Seite mit den sonstigen administrativen Einstellungen wird geöffnet.

   

   Am unteren Rand der Registerkarte Sonstiges befindet sich der Abschnitt Zur [Client-, MCN-] Konsole wechseln. Dieser Abschnitt enthält die Schaltfläche Konsole wechseln zum Umschalten zwischen den Appliance-Konsolenmodi.

Die Abschnittsüberschrift zeigt den aktuellen Konsolenmodus wie folgt an:

• Im Client-Konsolenmodus (Standard) lautet die Abschnittsüberschrift “Zur MCN-Konsole wechseln”.
• Im MCN-Konsolenmodus lautet die Abschnittsüberschrift “Zur Client-Konsole wechseln”.

Standardmäßig befindet sich eine neue Appliance im Client-Konsolenmodus. Der MCN-Konsolenmodus aktiviert die Ansicht des Konfigurationseditors in der Navigationsstruktur. Der Konfigurationseditor ist nur auf der MCN-Appliance verfügbar.

MCN konfigurieren

Um die MCN-Appliance-Site hinzuzufügen und mit der Konfiguration zu beginnen, gehen Sie wie folgt vor:

1. Navigieren Sie in der SD-WAN Appliance-GUI zu Virtual WAN > Konfigurationseditor.

   

2. Klicken Sie in der Sites-Leiste auf + Sites, um mit dem Hinzufügen und Konfigurieren der MCN-Site zu beginnen. Das Dialogfeld Site hinzufügen wird angezeigt.

   

3. Geben Sie einen Site-Namen ein, der Ihnen hilft, den geografischen Standort und die Rolle der Appliance (DC/sekundärer DC) zu bestimmen. Wählen Sie das korrekte Appliance-Modell aus. Die Auswahl der korrekten Appliance ist entscheidend, da sich die Hardwareplattformen hinsichtlich Verarbeitungsleistung und Lizenzierung voneinander unterscheiden. Da wir diese Appliance als primäre Head-End-Appliance konfigurieren, wählen Sie den Modus als primäres MCN und klicken Sie auf Hinzufügen.

4. Dadurch wird die neue Site zur Sites-Struktur hinzugefügt, und die Standardansicht zeigt die Konfigurationsseite für die Basiseinstellungen, wie unten dargestellt:

   

5. Geben Sie die Basiseinstellungen wie Standort und Site-Namen ein.

6. Konfigurieren Sie die Appliance so, dass sie Datenverkehr aus dem Internet/MPLS/Breitband akzeptieren kann. Definieren Sie die Schnittstellen, an denen die Links terminiert werden. Dies hängt davon ab, ob sich die Appliance im Overlay- oder Underlay-Modus befindet.

7. Klicken Sie auf Schnittstellengruppen, um mit der Definition der Schnittstellen zu beginnen.

   

8. Klicken Sie auf +, um virtuelle Schnittstellengruppen hinzuzufügen. Dadurch wird eine neue virtuelle Schnittstellengruppe hinzugefügt. Die Anzahl der virtuellen Schnittstellen hängt von den Links ab, die die Appliance verarbeiten soll. Die Anzahl der Links, die eine Appliance verarbeiten kann, variiert je nach Appliance-Modell, und die maximale Anzahl von Links kann bis zu acht betragen.

   

9. Klicken Sie rechts neben den virtuellen Schnittstellen auf +, um den unten gezeigten Bildschirm anzuzeigen.

   

10. Wählen Sie die Ethernet-Schnittstellen aus, die Teil dieser virtuellen Schnittstelle sind. Je nach Plattformmodell verfügen Appliances über ein vorkonfiguriertes Paar von Fail-to-Wire-Schnittstellen. Wenn Sie Fail-to-Wire auf Appliances aktivieren möchten, stellen Sie sicher, dass Sie das richtige Schnittstellenpaar auswählen und dass Sie Fail-to-Wire unter der Spalte Bypass-Modus auswählen.
11. Wählen Sie die Sicherheitsstufe aus der Dropdown-Liste aus. Der vertrauenswürdige Modus wird gewählt, wenn die Schnittstelle MPLS-Links bedient, und der nicht vertrauenswürdige Modus wird gewählt, wenn Internet-Links auf den jeweiligen Schnittstellen verwendet werden.

12. Klicken Sie rechts neben dem Label “virtuelle Schnittstellen” auf +. Dies zeigt den Namen, die Firewall-Zone und die VLAN-IDs an. Geben Sie den Namen und die VLAN-ID für diese virtuelle Schnittstellengruppe ein. Die VLAN-ID wird zur Identifizierung und Markierung des Datenverkehrs zu und von der virtuellen Schnittstelle verwendet. Verwenden Sie 0 (Null) für nativen/ungetaggten Datenverkehr.

    

13. Um die Schnittstellen im Fail-to-Wire-Modus zu konfigurieren, klicken Sie auf Bridge-Paare. Dadurch wird ein neues Bridge-Paar hinzugefügt und die Bearbeitung ermöglicht. Klicken Sie auf Anwenden, um diese Einstellungen zu bestätigen.
14. Um weitere virtuelle Schnittstellengruppen hinzuzufügen, klicken Sie rechts neben dem Zweig “Schnittstellengruppen” auf + und verfahren Sie wie oben beschrieben.
15. Nachdem die Schnittstellen ausgewählt wurden, besteht der nächste Schritt darin, IP-Adressen auf diesen Schnittstellen zu konfigurieren. In der Citrix SD-WAN-Terminologie wird dies als VIP (Virtual IP) bezeichnet.

16. Fahren Sie in der Sites-Ansicht fort und klicken Sie auf die virtuelle IP-Adresse, um die Schnittstellen zur Konfiguration der VIP anzuzeigen.

    

17. Geben Sie die IP-Adresse/Präfix-Informationen ein und wählen Sie die virtuelle Schnittstelle aus, der die Adresse zugeordnet ist. Die virtuelle IP-Adresse muss die vollständige Hostadresse und Netzmaske enthalten. Wählen Sie die gewünschten Einstellungen für die virtuelle IP-Adresse aus, z. B. Firewall-Zone, Identität, Privat und Sicherheit. Klicken Sie auf Anwenden. Dadurch werden die Adressinformationen zur Site hinzugefügt und in die Tabelle der virtuellen IP-Adressen der Site aufgenommen. Um weitere virtuelle IP-Adressen hinzuzufügen, klicken Sie rechts neben den virtuellen IP-Adressen auf + und verfahren Sie wie oben beschrieben.

18. Fahren Sie im Abschnitt “Sites” fort, um WAN-Links für die Site zu konfigurieren.

    

19. Klicken Sie oben im rechten Bereich auf Link hinzufügen. Es öffnet sich ein Dialogfeld, in dem Sie den Typ des zu konfigurierenden Links auswählen können.

    

20. Öffentliches Internet ist für Internet-/Breitband-/DSL-/ADSL-Links, während privates MPLS für MPLS-Links ist. Privates Intranet ist ebenfalls für MPLS-Links. Der Unterschied zwischen privaten MPLS- und privaten Intranet-Links besteht darin, dass privates MPLS die Beibehaltung der QoS-Richtlinien von MPLS-Links ermöglicht.
21. Wenn Sie öffentliches Internet wählen und die IPs über DHCP zugewiesen werden, wählen Sie die Option zur automatischen IP-Erkennung.

22. Wählen Sie auf der WAN-Link-Konfigurationsseite Zugriffsschnittstellen aus. Dadurch wird die Ansicht der Zugriffsschnittstellen für die Site geöffnet. Fügen Sie die VIP und die Gateway-IP für jeden der Links hinzu und konfigurieren Sie sie wie unten gezeigt.

    

23. Klicken Sie auf +, um eine Schnittstelle hinzuzufügen. Dadurch wird ein leerer Eintrag zur Tabelle hinzugefügt und zur Bearbeitung geöffnet.

24. Geben Sie den Namen ein, den Sie dieser Schnittstelle zuweisen möchten. Sie können den Namen basierend auf dem Linktyp und dem Standort wählen. Behalten Sie die Routing-Domäne als Standard bei, wenn Sie Netzwerke nicht trennen und der Schnittstelle keine IP zuweisen möchten.

25. Stellen Sie sicher, dass Sie eine öffentlich erreichbare Gateway-IP-Adresse angeben, wenn es sich um einen Internet-Link handelt, oder eine private IP, wenn es sich um einen MPLS-Link handelt. Behalten Sie den virtuellen Pfadmodus als primär bei, da Sie diesen Link benötigen, um einen virtuellen Pfad zu bilden.

    Hinweis: Aktivieren Sie Proxy-ARP, da die Appliance auf ARP-Anfragen für die Gateway-IP-Adresse antwortet, wenn das Gateway nicht erreichbar ist.

26. Klicken Sie auf Anwenden, um die WAN-Link-Konfiguration abzuschließen. Wenn Sie weitere WAN-Links konfigurieren möchten, wiederholen Sie die Schritte für einen weiteren Link.
27. Routen für die Site konfigurieren. Klicken Sie auf die Ansicht “Verbindungen” und wählen Sie “Routen” aus.

28. Klicken Sie auf +, um Routen hinzuzufügen. Es öffnet sich ein Dialogfeld, wie unten gezeigt.

    

29. Die folgenden Informationen sind für die neue Route verfügbar:

    • Netzwerk-IP-Adresse
    • Kosten – Die Kosten bestimmen, welche Route Vorrang vor einer anderen hat. Pfade mit niedrigeren Kosten haben Vorrang vor Routen mit höheren Kosten. Der Standardwert ist fünf.
    • Diensttyp – Wählen Sie den Dienst aus; ein Dienst kann einer der folgenden sein:
      • Virtueller Pfad
      • Intranet
      • Internet
      • Passthrough
      • Lokal
      • GRE-Tunnel
      • LAN-IPsec-Tunnel
30. Klicken Sie auf Anwenden.

Um weitere Routen für die Site hinzuzufügen, klicken Sie rechts neben dem Routen-Zweig auf + und verfahren Sie wie oben beschrieben. Weitere Informationen finden Sie unter MCN konfigurieren.

Virtuellen Pfad zwischen MCN und Branch-Sites konfigurieren

Stellen Sie die Konnektivität zwischen dem MCN und dem Branch-Knoten her. Dies können Sie tun, indem Sie einen virtuellen Pfad zwischen diesen beiden Sites konfigurieren. Navigieren Sie zur Registerkarte Verbindungen in der Konfigurationsstruktur des Konfigurationseditors.

1. Klicken Sie im Konfigurationsabschnitt auf die Registerkarte Verbindungen. Dies zeigt den Verbindungsabschnitt der Konfigurationsstruktur an.

2. Wählen Sie das MCN aus dem Dropdown-Menü “Site anzeigen” auf der Seite des Abschnitts Verbindungen aus.

   

3. Wählen Sie unter der Registerkarte “Verbindungen” den virtuellen Pfad aus, um einen virtuellen Pfad zwischen dem MCN und den Branch-Sites zu erstellen.

   

4. Klicken Sie im Abschnitt “Virtuelle Pfade” neben dem Namen des statischen virtuellen Pfads auf Virtuellen Pfad hinzufügen. Es öffnet sich ein Dialogfeld, wie unten gezeigt. Wählen Sie den Branch aus, für den der virtuelle Pfad konfiguriert werden soll. Sie müssen dies unter dem Label “Remote-Site” konfigurieren. Wählen Sie den Branch-Knoten aus dieser Dropdown-Liste aus und aktivieren Sie das Kontrollkästchen Auch umkehren.

   

   Die Datenverkehrsklassifizierung und -steuerung werden auf beiden Sites des virtuellen Pfads gespiegelt. Nachdem dies abgeschlossen ist, wählen Sie Pfade aus dem Dropdown-Menü unter dem Label “Abschnitt” aus, wie unten gezeigt.

   

5. Klicken Sie über der Pfadtabelle auf + Hinzufügen, wodurch das Dialogfeld zum Hinzufügen eines Pfads angezeigt wird. Geben Sie die Endpunkte an, innerhalb derer der virtuelle Pfad konfiguriert werden muss. Klicken Sie nun auf Hinzufügen, um den Pfad zu erstellen, und aktivieren Sie das Kontrollkästchen Auch umkehren.

   Hinweis: Citrix SD-WAN misst die Linkqualität in beide Richtungen. Das bedeutet, Punkt A zu Punkt B ist ein Pfad und Punkt B zu Punkt A ist ein anderer Pfad. Mithilfe der unidirektionalen Messung der Linkbedingungen kann das SD-WAN die beste Route für den Datenverkehr auswählen. Dies unterscheidet sich von Metriken wie RTT, die eine bidirektionale Metrik zur Messung der Latenz sind. Zum Beispiel wird eine Verbindung zwischen Punkt A und Punkt B als zwei Pfade angezeigt, und für jeden von ihnen werden die Link-Leistungsmetriken unabhängig berechnet.

Diese Einstellung reicht aus, um die virtuellen Pfade zwischen dem MCN und dem Branch herzustellen; weitere Konfigurationsoptionen sind ebenfalls verfügbar. Weitere Informationen finden Sie unter Virtuellen Pfaddienst zwischen MCN- und Client-Sites konfigurieren.

MCN-Konfiguration bereitstellen

Der nächste Schritt ist die Bereitstellung der Konfiguration. Dies umfasst die folgenden zwei Schritte:

1. Exportieren Sie das SD-WAN-Konfigurationspaket in das Änderungsmanagement.

   • Bevor Sie die Appliance-Pakete generieren können, müssen Sie zuerst das abgeschlossene Konfigurationspaket aus dem Konfigurationseditor in den globalen Staging-Posteingang des Änderungsmanagements auf dem MCN exportieren. Beachten Sie die Schritte im Abschnitt Änderungsmanagement durchführen.

2. Generieren und bereitstellen der Appliance-Pakete.

   • Nachdem Sie das neue Konfigurationspaket zum Änderungsmanagement-Posteingang hinzugefügt haben, können Sie die Appliance-Pakete auf den Branch-Sites generieren und bereitstellen. Dazu verwenden Sie den Änderungsmanagement-Assistenten in der Management-Weboberfläche auf dem MCN. Beachten Sie die Schritte im Abschnitt Appliance-Pakete bereitstellen.

Intranet-Dienste für die Verbindung mit Azure WAN-Ressourcen konfigurieren

1. Navigieren Sie in der SD-WAN Appliance-GUI zum Konfigurationseditor, dann zur Kachel Verbindungen. Klicken Sie auf + Dienst hinzufügen, um einen Intranet-Dienst für diese Site hinzuzufügen.

2. In den Basiseinstellungen für den Intranet-Dienst gibt es mehrere Optionen, wie sich der Intranet-Dienst bei Nichtverfügbarkeit von WAN-Links verhalten soll.

   • Primäre Rückgewinnung aktivieren – Aktivieren Sie dieses Kontrollkästchen, wenn der gewählte primäre Link die Übernahme nach einem Failover wiederherstellen soll. Wenn Sie diese Option jedoch nicht aktivieren, würde der sekundäre Link weiterhin Datenverkehr senden.
   • WAN-Link-Status ignorieren – Wenn diese Option aktiviert ist, verwenden Pakete, die für diesen Intranet-Dienst bestimmt sind, diesen Dienst weiterhin, auch wenn die zugehörigen WAN-Links nicht verfügbar sind.

3. Nach der Konfiguration der Basiseinstellungen besteht der nächste Schritt darin, die zugehörigen WAN-Links für diesen Dienst auszuwählen. Maximal zwei Links werden für einen Intranet-Dienst ausgewählt. Um die WAN-Links auszuwählen, wählen Sie die Option “WAN-Links” aus der Dropdown-Liste mit der Bezeichnung “Abschnitt”. Die WAN-Links funktionieren im primären und sekundären Modus, und nur ein Link wird als primärer WAN-Link ausgewählt.

   Hinweis: Wenn ein zweiter Intranet-Dienst erstellt wird, muss dieser die primäre und sekundäre WAN-Link-Zuordnung haben.

   

4. Es stehen Branch-Site-spezifische Regeln zur Verfügung, die die Möglichkeit bieten, jede Branch-Site einzigartig anzupassen und alle in den globalen Standardeinstellungen konfigurierten allgemeinen Einstellungen zu überschreiben. Modi umfassen die gewünschte Zustellung über einen bestimmten WAN-Link oder als Override-Dienst, der das Durchleiten oder Verwerfen des gefilterten Datenverkehrs ermöglicht. Wenn beispielsweise Datenverkehr vorhanden ist, der nicht über den Intranet-Dienst geleitet werden soll, können Sie eine Regel schreiben, um diesen Datenverkehr zu verwerfen oder über einen anderen Dienst (Internet oder Passthrough) zu senden.

   

5. Wenn der Intranet-Dienst für eine Site aktiviert ist, wird die Kachel Bereitstellung verfügbar gemacht, um die bidirektionale (LAN zu WAN / WAN zu LAN) Bandbreitenverteilung für einen WAN-Link unter den verschiedenen Diensten, die den WAN-Link nutzen, zu ermöglichen. Der Abschnitt Dienste ermöglicht es Ihnen, die Bandbreitenzuweisung weiter zu optimieren. Darüber hinaus kann “Fair Share” aktiviert werden, wodurch Dienste ihre minimale reservierte Bandbreite erhalten, bevor eine faire Verteilung erfolgt.

   

SD-WAN Center konfigurieren

Das folgende Diagramm beschreibt den übergeordneten Workflow der SD-WAN Center- und Azure Virtual WAN-Verbindung sowie die entsprechenden Zustandsübergänge der Bereitstellung.

Azure-Einstellungen konfigurieren:

• Azure Tenant-ID, Anwendungs-ID, geheimen Schlüssel und Abonnement-ID (auch als Dienstprinzipal bekannt) angeben.

Branch-Site-zu-WAN-Zuordnung konfigurieren:

• Eine Branch-Site einer WAN-Ressource zuordnen. Dieselbe Site kann nicht mit mehreren WANs verbunden werden.
• Klicken Sie auf Neu, um die Site-WAN-Zuordnung zu konfigurieren.
• Wählen Sie Azure WAN-Ressourcen aus.
• Wählen Sie die Site-Namen aus, die den WAN-Ressourcen zugeordnet werden sollen.
• Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Die für die Tunnelbereitstellung zu verwendenden WAN-Links werden automatisch mit dem Link mit der besten Linkkapazität vorausgefüllt.
• Warten Sie, bis sich der Status in „Tunnel bereitgestellt“ ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen.
• Verwenden Sie die Berichtsansicht des SD-WAN Centers, um den Status der jeweiligen IPsec-Tunnel zu überprüfen. Der IPsec-Tunnelstatus muss GRÜN sein, damit der Datenverkehr fließen kann, was bedeutet, dass die Verbindung aktiv ist.

SD-WAN Center bereitstellen:

Das SD-WAN Center ist das Verwaltungs- und Berichtstool für Citrix SD-WAN. Die erforderliche Konfiguration für Virtual WAN wird im SD-WAN Center durchgeführt. Das SD-WAN Center ist nur als virtueller Formfaktor (VPX) verfügbar und muss auf einem VMware ESXi- oder XenServer-Hypervisor installiert werden. Die Mindestressourcen, die zur Konfiguration einer SD-WAN Center-Appliance benötigt werden, sind 8 GB RAM und 4 CPU-Kerne. Hier sind die Schritte zum Installieren und Konfigurieren einer SD-WAN Center-VM.

SD-WAN Center für Azure-Konnektivität konfigurieren

Lesen Sie Dienstprinzipal erstellen für weitere Informationen.

Um das SD-WAN Center erfolgreich bei Azure zu authentifizieren, müssen die folgenden Parameter verfügbar sein:

• Verzeichnis (Tenant-ID)
• Anwendung (Client-ID)
• Sicherer Schlüssel (Client-Geheimnis)
• Abonnenten-ID

SD-WAN Center authentifizieren:

Navigieren Sie in der SD-WAN Center-Benutzeroberfläche zu Konfiguration > Cloud-Konnektivität > Azure > Virtual WAN. Konfigurieren Sie die Azure-Verbindungseinstellungen. Weitere Informationen zur Konfiguration der Azure VPN-Verbindung finden Sie unter dem folgenden Link: Azure Resource Manager.

Ab Version 11.1.0 wird die Konfiguration von primären und sekundären WAN-Links für die Azure Virtual WAN-Integration unterstützt. Der Hauptgrund für das Hinzufügen eines sekundären WAN-Links ist die Redundanz von der Citrix SD-WAN-Site.

Bei der vorherigen Implementierung konnte ein Ausfall des WAN-Links zu Verkehrsunterbrechungen und Konnektivitätsverlust zum Azure Virtual WAN führen. Mit der aktuellen Implementierung bleibt die Site-zu-Azure Virtual WAN-Konnektivität auch dann erhalten, wenn der primäre WAN-Link ausgefallen ist.

Geben Sie die Abonnement-ID, Tenant-ID, Anwendungs-ID und den sicheren Schlüssel ein. Dieser Schritt ist erforderlich, um das SD-WAN Center bei Azure zu authentifizieren. Wenn die oben eingegebenen Anmeldeinformationen nicht korrekt sind, schlägt die Authentifizierung fehl und weitere Aktionen sind nicht zulässig. Klicken Sie auf Anwenden.

Das Feld Speicherkonto bezieht sich auf das Speicherkonto, das Sie in Azure erstellt haben. Wenn Sie kein Speicherkonto erstellt haben, wird automatisch ein neues Speicherkonto in Ihrem Abonnement erstellt, wenn Sie auf Anwenden klicken.

Azure Virtual WAN-Ressourcen abrufen:

Nach erfolgreicher Authentifizierung fragt Citrix SD-WAN Azure ab, um eine Liste der Azure Virtual WAN-Ressourcen zu erhalten, die Sie im ersten Schritt nach der Anmeldung am Azure-Portal erstellt haben. Die WAN-Ressourcen stellen Ihr gesamtes Netzwerk in Azure dar. Sie enthalten Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei verschiedenen Hubs in verschiedenen WAN-Ressourcen enthalten.

So ordnen Sie Branch-Sites und Azure WAN-Ressourcen zu:

Eine Branch-Site muss mit Azure WAN-Ressourcen verknüpft werden, um IPsec-Tunnel einzurichten. Ein Branch kann mit mehreren Hubs innerhalb einer Azure Virtual WAN-Ressource verbunden werden, und eine Azure Virtual WAN-Ressource kann mit mehreren lokalen Branch-Sites verbunden werden. Erstellen Sie einzelne Zeilen für jede Bereitstellung von Branch zu Azure Virtual WAN-Ressource.

Mehrere Sites hinzufügen:

Sie können wählen, alle entsprechenden Sites hinzuzufügen und sie den ausgewählten einzelnen WAN-Ressourcen zuzuordnen.

1. Klicken Sie auf Mehrere hinzufügen, um alle Sites hinzuzufügen, die den ausgewählten WAN-Ressourcen zugeordnet werden müssen.

   

2. Die Dropdown-Liste der Azure WAN-Ressourcen (siehe unten) ist mit den Ressourcen Ihres Azure-Kontos vorausgefüllt. Wenn keine WAN-Ressourcen erstellt wurden, ist diese Liste leer, und Sie müssen zum Azure-Portal navigieren, um die Ressourcen zu erstellen. Wenn die Liste mit WAN-Ressourcen gefüllt ist, wählen Sie die Azure WAN-Ressource aus, mit der die Branch-Sites verbunden werden sollen.

3. Wählen Sie eine oder alle Branch-Sites aus, um den Prozess der IPsec-Tunnel-Einrichtung zu initiieren. Die WAN-Links mit der besten Kapazität für öffentliches Internet werden automatisch ausgewählt, um die IPsec-Tunnel zu den Azure VPN Gateways herzustellen.

   

Einzelne Site hinzufügen:

Sie können auch Sites einzeln hinzufügen, und wenn Ihr Netzwerk wächst oder wenn Sie eine Site-für-Site-Bereitstellung durchführen, können Sie mehrere Sites wie oben beschrieben hinzufügen.

1. Klicken Sie auf Neuen Eintrag hinzufügen, um einen Site-Namen für die Site-WAN-Zuordnung auszuwählen. Fügen Sie Sites im Dialogfeld “Sites für Azure-Netzwerk konfigurieren” hinzu.

   

   

2. Wählen Sie die Branch-Site aus, die für das Azure Virtual WAN-Netzwerk konfiguriert werden soll.

3. Wählen Sie den WAN-Link aus, der der Site zugeordnet ist (die Links vom Typ “Öffentliches Internet” werden in der Reihenfolge der besten physischen Linkkapazität aufgelistet).

4. Wählen Sie die WAN-Ressource, der die Site zugeordnet werden muss, aus dem Dropdown-Menü Azure Virtual WANs aus.

5. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Der Status („Init Site Information“, „Pushed Site Information“ & „Waiting for VPN configuration“) wird aktualisiert, um Sie über den Prozess zu informieren.

Der Bereitstellungsprozess umfasst die folgenden Status:

• Site-Informationen übertragen
• Warten auf VPN-Konfiguration
• Tunnel bereitgestellt

• Verbindung aktiv (IPsec-Tunnel ist aktiv) oder Verbindung inaktiv (IPsec-Tunnel ist inaktiv)

  

Site-WAN-Ressourcenzuordnungen (Azure-Portal) zuordnen:

Ordnen Sie die bereitgestellten Sites im Azure-Portal den unter der Azure Virtual WAN-Ressource erstellten virtuellen Hubs zu. Ein oder mehrere virtuelle Hubs können der Branch-Site zugeordnet werden. Jeder virtuelle Hub wird in einer bestimmten Region erstellt, und bestimmte Workloads können den virtuellen Hubs durch Erstellen von Verbindungen für virtuelle Netzwerke zugeordnet werden. Erst nach erfolgreicher Zuordnung der Branch-Site zum virtuellen Hub werden die VPN-Konfigurationen heruntergeladen und die entsprechenden IPsec-Tunnel von der Site zu den VPN-Gateways hergestellt.

Warten Sie, bis sich der Status in “Tunnel bereitgestellt” oder “Verbindung aktiv” ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen. Zeigen Sie die IPsec-Einstellungen an, die den ausgewählten Diensten zugeordnet sind.

SD-WAN Azure-Einstellungen:

• SD-WAN-Änderungsmanagement deaktivieren – Standardmäßig ist der Änderungsmanagementprozess automatisiert. Das bedeutet, dass das SD-WAN Center jedes Mal, wenn eine neue Konfiguration in der Azure Virtual WAN-Infrastruktur verfügbar ist, diese abruft und automatisch auf die Branches anwendet. Dieses Verhalten wird jedoch gesteuert, wenn Sie kontrollieren möchten, wann eine Konfiguration auf Branches angewendet werden muss. Ein Vorteil der Deaktivierung des automatischen Änderungsmanagements ist, dass die Konfiguration für diese Funktion und andere SD-WAN-Funktionen unabhängig verwaltet wird.

• SDWAN-Polling deaktivieren – Deaktiviert alle neuen SD-WAN Azure-Bereitstellungen und das Polling bei bestehenden Bereitstellungen.

• Polling-Intervall – Die Option “Polling-Intervall” steuert das Intervall, in dem nach Konfigurationsaktualisierungen in der Azure Virtual WAN-Infrastruktur gesucht wird. Die empfohlene Zeit für das Polling-Intervall beträgt 1 Stunde.

• Branch-to-Branch-Verbindung deaktivieren – Deaktiviert die Branch-to-Branch-Kommunikation über die Azure Virtual WAN-Infrastruktur. Standardmäßig ist diese Option deaktiviert. Sobald Sie diese aktivieren, bedeutet dies, dass lokale Branches über IPsec über die Virtual WAN-Infrastruktur von Azure miteinander und mit den Ressourcen hinter den Branches kommunizieren können. Dies hat keinen Einfluss auf die Branch-to-Branch-Kommunikation über den virtuellen SD-WAN-Pfad; Branches können auch dann über den virtuellen Pfad miteinander und mit ihren jeweiligen Ressourcen/Endpunkten kommunizieren, wenn diese Option deaktiviert ist.

• BGP deaktivieren – Dies deaktiviert BGP über IP; standardmäßig ist es deaktiviert. Sobald es aktiviert ist, werden die Site-Routen über BGP angekündigt.

• Debug-Level – Ermöglicht das Erfassen von Protokollen zur Fehlerbehebung bei Konnektivitätsproblemen.

WAN-Ressourcen aktualisieren:

Klicken Sie auf das Symbol Aktualisieren, um den neuesten Satz von WAN-Ressourcen abzurufen, die Sie im Azure-Portal aktualisiert haben. Nach Abschluss des Aktualisierungsvorgangs wird eine Meldung angezeigt, die besagt: „WAN-Ressourcen erfolgreich aktualisiert“.

Site-WAN-Ressourcenzuordnung entfernen

Wählen Sie eine oder mehrere Zuordnungen aus, um die Löschung durchzuführen. Intern wird der Änderungsmanagementprozess der SD-WAN Appliance ausgelöst, und bis dieser erfolgreich ist, ist die Option “Löschen” deaktiviert, um weitere Löschungen zu verhindern. Das Löschen einer Zuordnung erfordert, dass Sie die entsprechenden Sites im Azure-Portal trennen oder löschen. Der Benutzer muss diesen Vorgang manuell durchführen.

Sobald die Tunnel erstellt sind, sehen Sie zwei Intranet-Dienste, die in Ihrem MCN erstellt wurden.

Jeder Intranet-Dienst entspricht IPsec-Tunneln, die mit Peer-IPs (Azure Virtual WAN-Endpunkt-IPs) erstellt werden.

Wenn Sie unter Intranet-Dienste die Option WAN-Links aus der Dropdown-Liste Abschnitt auswählen, sehen Sie sowohl den von Ihnen angegebenen primären als auch den sekundären WAN-Link. Standardmäßig ist der Modus auf Auto eingestellt.

IPsec-Tunnel überwachen

Navigieren Sie in der SD-WAN Center-Benutzeroberfläche zu Berichterstellung > IPsec, um den Status der IPsec-Tunnel zu überprüfen. Der Tunnelstatus muss GRÜN sein, damit der Datenverkehr fließen kann.